Το
GravityRAT
, ένα trojan
απομακρυσμένης
πρόσβασης με
spyware
δυνατότητες
, μολύνει ξανά συσκευές αφού κρύβεται μέσα στη φαινομενικά νόμιμη
εφαρμογή ανταλλαγής μηνυμάτων SoSafe Chat.
Μάλιστα, η κακόβουλη εφαρμογή ισχυρίζεται ότι προσφέρει
end-to-end
κρυπτογράφηση
.
Το GravityRAT στοχεύει κυρίως
Ινδούς χρήστες
και
διανέμεται από Πακιστανούς hackers
.
Δείτε επίσης:
PhoneSpy: Android spyware
εκστρατεία
στοχεύει Κορεάτες χρήστες
Τα στοιχεία δείχνουν ότι και σε αυτή την πρόσφατη
εκστρατεία
, το RAT εξακολουθεί να στοχεύει άτομα “υψηλού προφίλ” στην Ινδία, όπως αξιωματικούς των Ενόπλων Δυνάμεων.
Το GravityRAT παρουσιάζεται σαν ασφαλής εφαρμογή συνομιλίας
Το 2020, το κακόβουλο λογισμικό στόχευε χρήστες μέσω μιας Android εφαρμογής με την ονομασία “
Travel Mate Pro
“. Ωστόσο, η πανδημία περιόρισε τα ταξίδια, και έτσι οι
εγκληματίες
του κυβερνοχώρου έπρεπε να βρουν μια νέα εφαρμογή, για να μπορούν να στοχεύσουν περισσότερους χρήστες.
Η κακόβουλη εφαρμογή ονομάζεται πλέον “
SoSafe Chat
” και προωθείται ως ασφαλής εφαρμογή ανταλλαγής μηνυμάτων που προσφέρει
end-to-end
κρυπτογράφηση
.
Το site που πιθανότατα έπαιξε ρόλο στη διανομή της εφαρμογής (sosafe.co[.]in) εξακολουθεί να λειτουργεί, αλλά δεν ισχύει το ίδιο για το σύνδεσμο λήψης και τη φόρμα εγγραφής.
Το κανάλι και η μέθοδος διανομής παραμένουν άγνωστα, αλλά πιθανότατα τα θύματα οδηγούνταν στο site μέσω
malvertising τεχνικών, social media posts και άμεσων μηνυμάτων σε στόχους.
Δείτε επίσης:
Το spyware FakeCop εξαπλώνεται ως antivirus στην Ιαπωνία
Κατασκοπευτικές ικανότητες
Μόλις εγκατασταθεί στη συσκευή ενός στόχου, το GravityRAT-spyware μπορεί να εκτελέσει διάφορες κακόβουλες δραστηριότητες και να επιτρέψει στους χειριστές του να διεισδύουν σε δεδομένα, να κατασκοπεύουν το θύμα και να παρακολουθήσουν την τοποθεσία του.
Ακολουθεί η λίστα με τις κακόβουλες ενέργειες του spyware:
- Πρόσβαση σε SMS, αρχεία καταγραφής κλήσεων και επαφές
- Αλλαγή ρυθμίσεων συστήματος
- Πρόσβαση σε τρέχουσες πληροφορίες cellular network, στον αριθμό τηλεφώνου και τον σειριακό αριθμό του τηλεφώνου του θύματος, την κατάσταση κλήσεων που βρίσκονται σε εξέλιξη και μια λίστα με Phone Accounts που είναι καταχωρημένοι στη συσκευή
- Διαχείριση αρχείων στον εξωτερικό χώρο αποθήκευσης της συσκευής
- Εγγραφή ήχου
- Λήψη πληροφοριών δικτύου και Wi-Fi
- Εντοπισμός της τοποθεσίας της συσκευής
Σύμφωνα με
ερευνητές της
Cyble
, η κακόβουλη εφαρμογή ζητά πολλές άδειες κατά την εγκατάσταση, αλλά μπορεί να φαίνεται φυσιολογικό για μια εφαρμογή ανταλλαγής μηνυμάτων.
Δείτε επίσης:
Το Android app “Smart TV remote” στο Google Play είναι malware
Σε σύγκριση με την έκδοση του 2020, το GravityRAT έχει προσθέσει τη δυνατότητα εγγραφής ήχου, τον εντοπισμό τοποθεσίας και τη δυνατότητα εξαγωγής cellular network data.
Πριν από την έκδοση του 2020,
το GravityRAT στόχευε αποκλειστικά μηχανήματα Windows
. Δεν είχε τη δυνατότητα να στοχεύει mobile συσκευές.
Οι πιο πρόσφατες επιθέσεις, ωστόσο, δείχνουν ότι
οι χειριστές του GravityRAT το εξελίσσουν συνεχώς και ενισχύουν τις spyware δυνατότητές του.
Πηγή: Bleeping Computer
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.